Helpdesk bellen ... :-)

@SirDice: heb je gekeken waar de exploit uit bestaat? Word je geredirect voor eventuele malware? Ik zit zelf even niet om een plek om hier in te kunnen duiken (en vanavond is de malware misschien al weg).

Veel mensen zullen Google Docs als betrouwbaar karakteriseren, maar als het bovenstaande klopt lijkt dat vertrouwen onterecht te zijn...

Die Google docs link geeft een wazig inlogscherm waar om je XS4ALL gegevens gevraagd wordt (ziet er heel erg fake uit) en heb ik inmiddels al gerapporteerd. Die tinyurl link verwijst naar http://sites.internet.lu/folders/chuithalbe/xs4all.html. Ook die heb ik gerapporteerd en lijkt inmiddels uit de lucht (resulteert in een 404). Die laatste link was een perfecte kopie van het inlog scherm van XS4ALL's webmail.

Ik heb verder geen malware gezien, blijkbaar waren ze alleen uit op accounts en wachtwoorden.

Heb 'm ook gekregen en gerapporteerd.

@SirDice: dank voor jouw uitzoekwerk! Ik verwacht niet dat veel xs4all leden hier in zullen trappen, maar toch...

Overigens had ik ondertussen wel een waarschuwing op https://roundcube.xs4all.nl/ en https://webmail.xs4all.nl/ verwacht, maar kennelijk vindt xs4all dat niet nodig. Jammer.

Nee, dat verwacht ik ook niet. Maar een gewaarschuwd mens telt voor twee ;-)

Misschien is dit nog handig ;)

Echt... Alleen al het taalgebruik...
Het is niet eens de moeite van het lezen waard!
Welke sukkel gaat hier sereneus op in???

De Google spreadsheet is er nog (ik heb ook even op "report abuse" gedrukt onderaan de pagina).

http://tinyurl.com/xs4all-online-verification stuurt je niet meer door, maar toont een eigen pagina waarin staat dat misbruik is genaakt van de tinyurl service.

Opmerkelijk is dat ik (via m'n xs4all ADSL aansluiting) http://sites.internet.lu/ niet meer kan bereiken. Het lijkt er sterk op dat xs4all die hele site heeft geblacklist: De site lijkt namelijk gewoon nog in de lucht: https://isc.sans.edu/tools/sitecheck.html meldt namelijk over http://sites.internet.lu/:(volgens https://isc.sans.edu/tools/dnscheck.html resolvt sites.internet.lu ook in 195.218.0.96, dus xs4all stuurt me niet het bos in via een onjuiste DNS reply).

Nb. ook als ik via wwwproxy.xs4all.nl naar http://sites.internet.lu/ surf krijg ik geen antwoord.

Wel een erg radicale actie van xs4all, temeer daar de pagina http://sites.internet.lu/folders/chuithalbe/xs4all.html ook op dit moment een 404 teruggeeft, aldus http://jsunpack.jeek.org/?report=8e58f67b01a673ba46619338e15e5189117d4126 (zojuist gecheckt).

Dat https://www.virustotal.com/url/5ac411d389c2affd51c21e1f9c746ff51261a2447f1fc1be837ab74241a2b6b2/analysis/1347398898/ nog malware aangeeft lijkt me dan ook onjuist in dit geval. Hoewel er op die site meerdere pagina's gehacked kunnen zijn lijkt dat niet het geval (zie de blacklists waar http://www.robtex.com/dns/sites.internet.lu.html#result naar verwijst).

Aanvulling: ik hoop dat "Apache/1.3.29" (uit 2003), zoals te zien is in http://jsunpack.jeek.org/?report=8e58f67b01a673ba46619338e15e5189117d4126, gespoofed wordt door sites.internet.lu.

Aanvulling #2: tracerts vanaf mijn xs4all aansluiting naar zowel 195.218.0.95 als naar 195.218.0.97 lopen wel "door" na hop 3, 195.218.0.96 is dus duidelijk geblacklist door xs4all.

Is er nog een truukje om die spreadsheet boven water te krijgen? Ik heb al wat zitten zoeken maar voor zover ik kan vinden moet de sheet perse "openbaar" gemaakt zijn om het in te kunnen zien. Als dat niet het geval is kan alleen de eigenaar de sheet zelf bekijken.

In de pagina zaken als geven hier weinig hoop op vrees ik. Ik moet toegeven dat ik nauwelijks ervaring heb met Google docs, maar stel me zo voor dat Google dit wel redelijk zal hebben dichtgetimmerd.

Wel een slechte zaak dat deze phishing pagina,ondanks onze klachten erover, gewoon nog online staat bij Google.

En nog een keer:

Link verwijst naar http://the-dutch-touch.com/xs4all.nl/login.htm
De eigenaar is op de hoogte gebracht.

Ik heb een userscriptje gemaakt dat het Google Docs formulier volspamt met willekeurige data, zodat de phishers er niets meer aan hebben. Wie helpt mee?


(Instructie: in Greasemonkey / Scriptish een nieuw userscript aanmaken, deze code plakken en naar het phishingformulier toegaan. De rest is automatisch.)

P.S., ik weet dat de code een beetje slordig is en het commentaar soms niet klopt; dat is omdat het gebaseerd is op een ander script van me.

Geweldig!

Ondertussen probeer ik Google wakker te schudden maar, zoals gebruikelijk, word je weer eens met een kluitje het riet in gestuurd. Maar ik hou vol!


En dan de reactie:

Dus, daar maar weer op reageren:

Het formulier is inmiddels geblokkeerd door Google:

Ah, mooi. Ik heb uiteindelijk maar gevraagd aan XS4ALL of ze actie wilde ondernemen omdat ik bij Google alleen maar tegen blinde muren aanliep.

Die laatste link (the-dutch-touch.com) is inmiddels ook off-line. De eigenaar reageerde niet, dus maar contact opgenomen met de hoster. Die heeft netjes z'n werk gedaan.

Vandaag kreeg ik deze weer:

Het formulier op deze pagina wordt verstuurd naar "http://diogooliveira.com.br/blog/wp-content/plugins/xs4all.php" en deze is nog wel online. De site zelf kon ik niet meer bij, enkel via het tor netwerk.

Nog maar een keertje...


Tiny link verwijst naar http://homepage.internet.lu/weber.guy/xs4allup.html (mooie kopie van de webmail pagina)

Zowel tiny.cc als internet.lu op de hoogte gebracht.

Reactie van tiny:
Fucking link is echter nog steeds actief.

Duurt even maar Tiny geeft nu:

Die internet.lu site is echter nog steeds actief :(

ik heb met eigen handen de gehackte site http://spartanbookclub.com/ ook uit de lucht gehaald door het systeem te hacken en de xs4all ed scripts te verwijderen. Er stonden meerdere van deze phishingdingen op. Maar die werken niet meer :)

Die internet.lu website post de ingevoerde account gegevens volgens de source naar http://diogooliveira.com.br/blog/wp-content/plugins/xs4all.php
Ziet er uit dat iemand een blog vergeten is dicht te timmeren / patchen en dat wordt nu misbruikt.

Opvallend dat ze bijna allemaal naar dezelfde host and scripts posten.

Krijg de bovenstaande varianten al een behoorlijk aantal weken binnen op een xs4all mailadres dat ik voor een domeinnaamregistratie gebruikte als contact adres. Leuk van het ICANN dat ze dit gewoon in de WHOIS laten staan. Is het bij het SIDN nu stukken beter geregeld.

Doorsturen naar abuse@xs4all.nl heeft weinig zin; zo geeft Xs4all zelf aan (wegens de enorme hoeveelheid). Men adviseert dit onder webmail als SPAM te markeren zodat het filter ervan leert. Erg omslachtig als je webmail nooit gebruikt. Helpen doet het overigens ook niet want ze blijven binnenstromen; ze gebruiker telkens gewoon een ander domein, daar zijn ze net niet te stom voor.

Echt intelligent zijn deze figuren ook niet. Alsof mensen na de zoveelste variant op het mailtje wel erin trappen en op de link klikken. Soms erger ik me gruwelijk aan de dwaasheid van deze figuren. Dan krijg ik ineens heel veel zin om even zeer veel energie en moeite te steken in de opsporing van de dwaas achter het mailtje en deze eens goed overhoop te halen.

Maar dan realiseer ik mij dat dit dweilen met de kraan open is en even op del drukken veel minder verspilde moeite is. Dit soort figuren zijn immers alleen succesvol omdat er mensen in hun methodes trappen. Educatie van gewone gebruikers heeft denk ik meer effect.

Jammer dat Xs4all hun spamfilter niet uitbreid met een regel als [ IF CONTENT-MATCH = "problemen" AND "onze database" AND "uw account" AND "verifiëren" THEN REMOVE/SPAM ] of iets specifiekers...

zeer waarschijnlijk is het van de 1 en de zelfde pisher/hacker. deze jaagt zo te zien op verouderde apache versies, om bijv een script injectie uittevoeren. ook is het mogelijk om error logs en access logs te ontwijken dmv apache escape squence injection vulnerability. dus eigenlijk kan de server admin dan niet zien wat er gebeurt is want het word simpel weg niet gelogged.

ik heb een xss gedaan door expect toetevoegen in de GET request. verrassend genoeg werkte het ook nog.
http://postimage.org/image/5pze7yts9/

als het goed is is de pagina nu van de server verdwenen, maar ik heb de source disclosed voor jullie ter analyse.
http://pastebin.com/uD3W7uEk

er waren nog tal van mogelijkheden, zo zijn er exploits verkrijgbaar voor een take-over. zoek maar op apache 1.3.29 (windows os) draaiende.

er gaat NIETS boven de geur van zwetende phisher in de morgen :-D !

leuk Sirdice, laat de phish mails maar komen hoor.

het zal je verbazen, maar niet dus. ook dit bedrijf is té groot om alles te kunnen bij houden. je kunt er malware hosten als je wil, is in het verleden ook wel gebeurt.

Ze blijven het ook maar proberen...


Google Docs heeft het document al offline gehaald.

Ze zijn maar overgeschakeld op Engels...


Link verwijst naar http://www.digifelis.com/hatim/excel/xs4all.html

Sirdice, misschien een handige tip voorje tijdens je visser jacht ;)

https://userscripts.org/scripts/show/22955

Site is inmiddels offline gehaald door de hoster :D

Ik zal 'r eens naar kijken. Ziet er wel geinig uit.

Men valt maar weer terug op Google Docs....

Beste gebruiker,


Als gevolg van bezorgdheid en de veiligheid van uw e-mailaccount hebben we uitgegeven dit waarschuwing.

U Hebt 1 Nieuw Veiligheid Bericht Alarm!

Klik op de link hieronder om te lezen.

http://turbosocks.com/xs4all.nl/login.html

Klik hier om door te gaan
© 2012 xs4all


Return-Path: <abuse@xs4all.nl>
Received: from smtp-vbr14.xs4all.nl (smtp-vbr14.xs4all.nl [194.109.24.34])
by mxdrop215.xs4all.nl (8.13.8/8.13.8) with ESMTP id qB794nls024358;
Fri, 7 Dec 2012 10:04:50 +0100 (CET)
(envelope-from abuse@xs4all.nl)
Received: from xs4all.nl ([79.132.4.0])
(authenticated bits=0)
by smtp-vbr14.xs4all.nl (8.13.8/8.13.8) with ESMTP id qB794VUU095677
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO);
Fri, 7 Dec 2012 10:04:32 +0100 (CET)
(envelope-from abuse@xs4all.nl)
Message-Id: <201212070904.qB794VUU095677@smtp-vbr14.xs4all.nl>
From: "XS4ALL"<abuse@xs4all.nl>
Subject: U Hebt 1 Nieuw Veiligheid Bericht Alarm!
Date: Fri, 7 Dec 2012 09:03:48 -0000
MIME-Version: 1.0
Content-Type: text/html;
charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-Antivirus: avast! (VPS 121201-1, 01.12.2012), Outbound message
X-Antivirus-Status: Clean
X-Virus-Scanned: by XS4ALL Virus Scanner
To: undisclosed-recipients:;
X-CNFS-Analysis: v=2.0 cv=L5WqtZv8 c=1 sm=0 p=0P0lgfaWiWYA:10
p=I_kZ2255KhiwuZD4DCsA:9 a=Dyoqhi_TatcA:10 a=Cfj4BQAnxiAA:10
a=4FuHUdX8QB4A:10 a=xOd6jRPJAAAA:8 a=ltPXwdc1AAAA:8 a=Ft8UYL4EG9YA:10
a=_W_S_7VecoQA:10 a=tXsnliwV7b4A:10 a=v3uZLvOKKG4A:10
a=px094Ddi5-3Dty-L:21 a=YrjpLDxwaEaI7ab+74DHFA==:117
X-XS4ALL-Spam-Score: 3.7 (***) ALL_TRUSTED, CMAE_1, T_CMAE_1_MD
X-XS4ALL-Spam: NO
Envelope-To: @xs4all.nl

Ja die lui zijn slim en XS4ALL helaas niet.
Ze hebben al een XS4ALL account gehacked en prikken hun spam in bij smtp.xs4all.nl met gebruikmaking van die login (daarom staat er authenticated in die received regel maar de bron zit in Bularije).
Helaas helaas helaas kent XS4ALL spam bonuspunten toe aan dit soort logins (ALL_TRUSTED) en dus wordt de mail niet herkend als spam.
Misplaatst vertrouwen, waarom zouden je eigen klanten geen spam sturen en TRUSTED zijn??

Bedankt, geen payload, enkel phishing, gemeld en al geblocked door chrome..
(Go Daddy zelf is altijd traag met dit soort dingen)